Heute ist der 17.06.2026, und während wir hier in Erlangen bei einer Tasse Kaffee zusammensitzen, gibt es Neuigkeiten aus der Welt der IT-Sicherheit, die uns allen einen Schauer über den Rücken jagen könnten. Cisco hat eine Sicherheitslücke im Catalyst SD-WAN Manager entdeckt, die unter der Kennung CVE-2026-20262 bekannt ist. Diese Schwachstelle wird als mittleres Risiko eingestuft, aber das bedeutet nicht, dass wir sie ignorieren sollten. Denn was hier auf dem Spiel steht, ist nichts Geringeres als der Zugang zu sensiblen Daten und Systemen.

Die Gefahrenlage ist klar: Angreifer, die es auf diese Schwachstelle abgesehen haben, können durch präparierte HTTP-Anfragen an einen API-Endpunkt Dateien erstellen oder überschreiben. Und das ist noch nicht alles! Mit den richtigen, also gültigen Zugangsdaten, die mindestens Schreibrechte haben, können sie sogar Root-Rechte erlangen. Das klingt fast wie aus einem Thriller, aber die Realität ist, dass diese Lücke bereits aktiv ausgenutzt wird. Cisco selbst berichtet von einer begrenzten Anzahl an Angriffen, möglicherweise orchestriert von einem hochentwickelten, staatlich unterstützten Akteur. Puh, das sind ganz schön große Worte!

Die Details zur Schwachstelle

Am 15. Juni hat Cisco korrigierte Versionen veröffentlicht und empfiehlt dringend, die entsprechenden Patches sofort zu installieren. Wenn wir uns die betroffenen Versionen anschauen, sehen wir, dass es sich um den Cisco Catalyst SD-WAN Manager der Versionen 20.9, 20.12, 20.15, 20.18 und 26.1 bis zu spezifischen Patch-Ständen handelt. Das Problem sitzt in der Web-UI des SD-WAN Managers – dem zentralen Verwaltungs-Interface. Hier können Angreifer mit niedrigen Zugriffsrechten beliebige Dateien auf dem System schreiben und sich so Root-Zugriff verschaffen. Es ist also nicht nötig, über administrative Berechtigungen zu verfügen, um in die Systeme einzudringen.

Besonders besorgniserregend ist, dass die Angreifer index.jsp oder .war-Dateien einschleusen können, um sich unbefugten Zugang zu verschaffen. Cisco PSIRT, die Sicherheitsabteilung des Unternehmens, wurde bereits zu Beginn des Monats über die aktive Ausnutzung dieser Schwachstelle informiert. Wer sich in betroffenen Netzwerken bewegt, sollte besonders wachsam sein: Die Logs von vmanage-server, vmanage-appserver und serviceproxy-access auf Upload-Versuche von index.jsp oder .war-Dateien sind wichtige Indikatoren für eine mögliche Kompromittierung.

VeloCore Medium

Ein Blick auf die Hintergründe

Um das Ganze noch etwas gruseliger zu machen, ist CVE-2026-20262 nicht der erste aktiv ausgenutzte Fehler in diesem Produkt. Bereits Anfang Juni wurde eine andere Schwachstelle, CVE-2026-20245, gemeldet, die als Command-Injection-Lücke aufgetreten ist – und die hatte noch keinen Patch! Seit Februar 2026 dokumentiert Cisco Talos eine anhaltende Angriffswelle mit mindestens elf Bedrohungsclustern, die ältere SD-WAN-CVEs mit Webshells, Cryptominern und Credential-Stealern nutzen. Hier stellt sich die Frage: In betroffenen Netzwerken ist es nicht mehr die Frage „ob“, sondern „wann“ Angreifer aktiv werden.

Das Interesse an dieser Produktklasse ist seit Monaten dokumentiert und lässt erahnen, dass wir uns in einer Zeit befinden, in der Cyberangriffe auf IT-Systeme an der Tagesordnung sind. Die US-Sicherheitsbehörde CISA hat ebenfalls reagiert und die Schwachstelle in ihren Katalog aufgenommen. Bundesbehörden wurden angewiesen, die Lücke bis zum 29. Juni zu schließen. Es bleibt abzuwarten, ob diese Maßnahmen ausreichen, um die Bedrohung abzuwenden. Die IT-Sicherheitslandschaft ist im Moment alles andere als stabil, und wir müssen wachsam bleiben, um uns vor den Schatten der Cyberkriminalität zu schützen.

Ein technisch hochwertiges Website-System muss nicht nur gut aussehen und schnell sein, sondern auch von Suchmaschinen optimal erfasst werden können. Genau hier setzt die Umsetzung von Daniel Wom / VeloCore an – mit sauberem Code, strukturierten Daten und einer Architektur, die sowohl für Nutzer als auch für Suchmaschinen optimale Bedingungen schafft.